Безпека активів Блокчейн привертає увагу, часті крадіжки виявляють множинні ризики

З появою децентралізованих фінансів та неномінованих токенів, активи користувачів поступово переходять з традиційних централізованих каналів до децентралізованих гаманців, кросчейн-мостів та платформ для кредитування. Проте часті випадки крадіжок проектів та активів користувачів на блокчейні викликали широку увагу, навіть деякі жартують, що блокчейн став "банком" для хакерів.

Причини цих безпекових інцидентів різноманітні, від вразливостей на рівні коду до помилок, спричинених людським фактором. Типовим прикладом є крадіжка на суму 160 мільйонів доларів, яка сталася 20 вересня з криптовалютного маркет-мейкера Wintermute.

Людська помилка призвела до величезних втрат активів

Засновник Wintermute після події заявив, що централізовані фінансові та позабіржові операції компанії не постраждали, а платоспроможність все ще становить вдвічі більше, ніж залишковий капітал. Він запевнив користувачів, що якщо є угода про маркет-мейкінг з Wintermute, кошти в безпеці. Серед 90 активів, які були зламані, лише два мають номінальну вартість понад 1 мільйон доларів, тому навряд чи відбудеться масове розпродаж.

Компанія з безпеки Блокчейн Salus Security швидко виявила адресу хакера та виявила, що її фінансування включає певний анонімний інструмент для змішування монет та незалежні гаманці, з яких було здійснено великі виведення коштів з деяких торгових платформ. Ця адреса також пов'язана з підозрюваною адресою користувача Wintermute та має операції з виведення коштів, пов'язані з офіційним контрактом відомої біржі.

Згідно з аналізом даних на Блокчейні, близько 73% з викрадених 160 мільйонів доларів Wintermute становлять стейблкоїни, 8% - WBTC, 6% - ETH. Зловмисник вніс 114 мільйонів доларів у певну децентралізовану біржу для забезпечення ліквідності, ставши третьою за величиною LP на цій платформі.

Компанія безпеки Slow Mist вважає, що причиною крадіжки міг бути використаний Wintermute інструмент для генерації номерів гаманців, в якому є вразливості. Засновник Wintermute пізніше підтвердив, що компанія дійсно використовувала цей інструмент у червні для створення адреси гаманця з метою оптимізації комісій, а не для створення номерів. Хоча минулого тижня дізналися про вразливість цього інструменту і почали відмовлятися від старих ключів, через внутрішню людську помилку було викликано неправильну функцію, що призвело до того, що не вдалося своєчасно видалити права підпису з адрес, які постраждали.

Щодо повернення вкрадених коштів, Wintermute заявила, що готова запропонувати хакерам 10% винагороди, що становить приблизно 16 мільйонів доларів США. Компанія підкреслила, що цей інцидент не вплине на її нормальну діяльність, не буде звільнень співробітників, зміни стратегії, залучення додаткових коштів або зупинки бізнесу DeFi.

Однак дані в ланцюгу показують, що Wintermute наразі має DeFi борг понад 200 мільйонів доларів США до кількох контрагентів, з яких найбільший — це кредит у 92 мільйони доларів США у USDT, що спливає у жовтні. Якщо вкрадені кошти не вдасться своєчасно повернути, Wintermute може зіткнутися з ризиком боргової кризи.

Wintermute зазнав збитків через людську помилку

Слід зазначити, що це не перший випадок, коли Wintermute зазнає збитків через людський фактор. У червні цього року компанія втратила 20 мільйонів токенів через помилку адреси під час надання ліквідності для одного з проектів Layer 2.

Тоді Wintermute був запрошений надати ліквідність для цього проекту, а фонд отримав тимчасовий грант у розмірі 20 мільйонів токенів. Однак адреса отримання, яку надав Wintermute, була адресою мультипідпису в основній мережі Ethereum, а не адресою в мережі другого рівня. Це призвело до того, що Wintermute не зміг отримати доступ до цих токенів, а атакуючий випередив його, розгорнувши контракт мультипідпису в мережі другого рівня та контролюючи ці токени.

На щастя, хакер зрештою повернув 17 мільйонів токенів, Wintermute пообіцяв повернути залишок у 2 мільйони. Ця подія ще раз підкреслює серйозні наслідки, які можуть виникнути внаслідок людських помилок.

Як особистим користувачам уникнути ризику викрадення активів

Враховуючи часті випадки великих втрат, які організації зазнають через людські помилки, особисті користувачі повинні ще більше обережно захищати свою безпеку активів. Ось кілька порад:

1. Уникайте використання сторонніх інструментів для створення гаманця: сторонні інструменти несуть ризик моніторингу записів користувачів і низькоякісних злочинних дій, слід дотримуватися використання офіційного рідного гаманця.

2. Розгляньте можливість впровадження мультипідпису для основного гаманця: хоча це не підходить для високочастотних торгів, мультипідпис може ефективно уникнути ризику людських помилок для звичайних користувачів.

3. Не копіюйте та не вставляйте приватний ключ: багато сторонніх додатків на пристроях мають доступ до буфера обміну, копіювання та вставка приватного ключа створює великі ризики.

4. Уважно перевіряйте авторизаційний контракт під час операцій в Блокчейні: остерігайтеся фішингових сайтів або зламаних фронтальних сторінок, обов'язково перевіряйте справжність доменного імені сайту та адреси смарт-контракту.

5. Обмежте обсяг авторизації та своєчасно відкликайте непотрібні дозволи: уникайте безмежної авторизації, надавайте лише необхідну суму, а після використання своєчасно відкликайте авторизацію.

Безпека не буває дрібницею, особливо в галузі Блокчейн, активи, які були вкрадені, важко повернути і часто не підлягають правовому захисту. Тому користувачі повинні бути особливо обережними під час проведення операцій в мережі, вживаючи всі можливі заходи для забезпечення безпеки своїх цифрових активів.